Depuis 2020, l'installation s'effectue depuis certbot avec snap
Suivez le guide dans l'article
Certbot est un binaire qui permet de mettre en œuvre un certificat SSL pour un domaine d'un site Internet. Certbot-auto est une solution complète qui permet d’exécuter Certbot de manière optimale.
- Télécharger CERTBOT
En terminal, j’exécute wget
wget https:*dl.eff.org/certbot-auto- Déployer CERTBOT
sudo mv certbot-auto /usr/local/bin/certbot-auto
sudo chown root /usr/local/bin/certbot-auto
sudo chmod 0755 /usr/local/bin/certbot-auto
/usr/local/bin/certbot-auto --install-only- Application CERTBOT pour un domaine
Exécution de l'utilitaire pour configurer un site avec les options suivantes :
read -p "Quel est votre nom de domaine ? " siteName
read -p "Dossier Web du site ? " dirWeb
sudo certbot-auto certonly --webroot -w $dirWeb -d $siteName --register-unsafely-without-emailL'avantage de ce script :
- pas d'arrêt d'Apache 2
- pas de mail à saisir
- autonomie sur la configuration Apache 2
Quelques chemins à retenir :
| fichier de configuration | /etc/letsencrypt/renewal/$siteName.conf | | | ---------------------------------------------------------------------- | | dossier archive | /etc/letsencrypt/archive/$siteName | | | fichier cert | /etc/letsencrypt/live/$siteName/cert.pem | | | fichier privkey | /etc/letsencrypt/live/$siteName/privkey.pem | | | fichier chain | /etc/letsencrypt/live/$siteName/chain.pem | | | fichier fullchain | /etc/letsencrypt/live/$siteName/fullchain.pem | |
- Application CERTBOT pour un domaine principal
Exécution de l'utilitaire pour configurer un domaine principal. Un domaine principal est accessible avec les www et sans :
echo "Quel nom de domaine (avec www) ?"
read siteNameWww
echo "Quel nom de domaine (sans les www) ?"
read siteName
certbot-auto certonly --webroot -w /var/www/html/ -d $siteNameWww -d $siteName --register-unsafely-without-emailL'avantage de ce script :
- pas d'arrêt d'Apache 2
- pas de mail à saisir
- autonomie sur la configuration Apache 2
Quelques chemins à retenir :
| fichier de configuration | /etc/letsencrypt/renewal/$siteNameWww.conf | | | ------------------------------------------------------------------------- | | dossier archive | /etc/letsencrypt/archive/$siteNameWww | | | fichier cert | /etc/letsencrypt/live/$siteNameWww/cert.pem | | | fichier privkey | /etc/letsencrypt/live/$siteNameWww/privkey.pem | | | fichier chain | /etc/letsencrypt/live/$siteNameWww/chain.pem | | | fichier fullchain | /etc/letsencrypt/live/$siteNameWww/fullchain.pem | |
- Renouveler les certificats
Il suffit d’exécuter la commande :
$ sudo certbot-auto renewLes paramètres cerbot sont automatiquement traités et une mise à jour des certificats sont opérés.
Il faudra redémarrer le service Web (par exemple systemctl reload apache2).
- Renouveler les certificats automatiquement
Éditer la tâche des tâches Linux du compte root, *crontab// :
sudo crontab -eLa tâche doit exécutée le programme certbot-auto avec l'option de renouvellement, renew. L'option post-hook permet d'indiquer la commande à exécuter après le traitement de certbot-auto. Dans notre cas, on demande à systemctl de recharger la configuration Apache 2.
0 23 1-7 */2 4 python -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew --post-hook "systemctl reload apache2" >> /var/log/letsencrypt/renew.logExplications :
Tous les deux mois ( 0 23 1-7 */2 4 ) à 23 heures ( 0 23 1-7 */2 4 ), le premier jeudi ( 0 0 1-7 */2 4 ), lancement d'un script Python, qui retarde 1 heure au maximum (random.random() * 3600), l’exécution de la mise à jour de certbot.## - Afficher les dates du certificats ``` sudo ls /etc/letsencrypt/live/ read -p "Quel est votre nom de domaine ?" siteName sudo openssl x509 -noout -dates -in /etc/letsencrypt/live/$siteName/fullchain.pem ```
- Réinitialiser la configuration Let's Encrypt
#!/bin/bash
# réinitialiser let's encrypt pour un domaine precis
echo Affichage des noms possibles :
sudo ls /etc/letsencrypt/live
echo .
echo "Quel nom de domaine ?"
read siteName
sudo rm -fr /etc/letsencrypt/live/$siteName/
sudo rm /etc/letsencrypt/renewal/$siteName.conf
sudo rm -fr /etc/letsencrypt/archive/$siteName/
Commentaires
Aucun commentaire pour l'instant. Soyez le premier !
Laisser un commentaire